Terjadi kesalahan. Tunggu sebentar dan coba lagi.
Kirim masukan terkait...
Pusat Bantuan Penelusuran
Istilah "Same-site" dan "same-origin" sering disebut, tetapi sering disalahpahami. Misalnya, atribut ini digunakan dalam konteks transisi halaman, permintaan fetch(), cookie, pop-up pembuka, resource tersemat, dan iframe. Halaman ini menjelaskan definisi dan perbedaannya satu sama lain.
"Asal" adalah kombinasi dari skema (juga dikenal sebagai protokol, misalnya HTTP atau HTTPS), nama host, dan port (jika ditentukan). Misalnya, dengan URL https://www.example.com:443/foo, "origin" adalah https://www.example.com:443.
"Situs yang sama tanpa skema"
Definisi "situs yang sama" diubah untuk menyertakan skema URL sebagai bagian dari situs untuk mencegah HTTP digunakan sebagai saluran lemah. Konsep lama "situs yang sama" tanpa perbandingan skema sekarang disebut "situs yang sama tanpa skema". Misalnya, http://www.example.com dan https://www.example.com dianggap sebagai situs yang sama tanpa skema, tetapi bukan situs yang sama, karena hanya bagian eTLD+1 yang penting dan skema tidak dipertimbangkan.
Daftar Akhiran Publik dan eTLD
Untuk domain dengan elemen seperti .co.jp atau .github.io, hanya penggunaan .jp atau .io tidak cukup spesifik untuk mengidentifikasi "situs". Tidak ada cara algoritma untuk menentukan tingkat domain yang dapat didaftarkan untuk TLD tertentu. Untuk membantu melakukannya, Daftar Suffix Publik menentukan daftar akhiran publik, yang juga disebut TLD yang efektif (eTLD). Daftar eTLD dipertahankan di publicsuffix.org/list.
Untuk mengidentifikasi bagian "situs" dari domain yang menyertakan eTLD, terapkan praktik yang sama seperti contoh dengan .com. Dengan mengambil https://www.project.github.io:443/foo sebagai contoh, skemanya adalah https, eTLD adalah .github.io, dan eTLD+1 adalah project.github.io, sehingga https://project.github.io dianggap sebagai "situs" untuk URL ini.
Cara memeriksa apakah permintaan merupakan "situs yang sama", "origin yang sama", atau "lintas situs"
Semua browser modern mengirim permintaan dengan header HTTP Sec-Fetch-Site. Header memiliki salah satu nilai berikut:
Anda dapat memeriksa nilai Sec-Fetch-Site untuk menentukan apakah permintaan tersebut memiliki situs yang sama, origin yang sama, atau lintas situs.
Anda dapat memercayai nilai header Sec-Fetch-Site secara wajar, karena:
"Same-origin" dan "cross-origin"
Situs yang memiliki kombinasi skema, nama host, dan port yang sama dianggap "origin yang sama". Lainnya dianggap "lintas asal".
Domain level teratas (TLD) seperti .com dan .org tercantum dalam Database Zona Root. Pada contoh sebelumnya, "situs" adalah kombinasi skema, TLD, dan bagian dari domain tepat sebelum (Kita menyebutnya TLD+1). Misalnya, dengan URL https://www.example.com:443/foo, "situs" adalah https://example.com.
"situs yang sama" dan "lintas situs"
Situs yang memiliki skema dan eTLD+1 yang sama dianggap "situs yang sama". Situs yang memiliki skema berbeda atau eTLD+1 yang berbeda adalah "lintas situs".
